KeepassXC : outil de gestion de données sensibles / OpenBSD

Article publié, le 23 Mai 2020 et modifié le 2 Mai 2023
7 minutes de lecture

Cet article contient 1413 mots.
Source brute de l'article :
Commit version : 14359cb

Description

KeePassXC est un dérivé communautaire de KeePassX, le port multi-plateforme de KeePass pour Windows. Chaque fonctionnalité travaille sur ces plateformes et fait l’objet de tests approfondis afin de fournir aux utilisateurs les mêmes apparences et sensations sur chacun des systèmes d’exploitation supportés. Cela inclut la bien-aimée fonctionnalité Auto-Type.

Par défaut, la basse de données est toujours chiffrée avec l’algorithme de chiffrement AES (alias Rijndael) de norme industrielle, utilisant une clé de 256 bits. KeePassXC utilise un format de basse de données compatible avec KeePass Password Safe. Votre porte-monnaie fonctionne hors-ligne et ne requiert pas de connexion Internet.

Les principales fonctionnalités :

Un enregistrement des mots de passes et autres données confidentielles avec les chiffrements AES, Twofish ou ChaCha20
Un format de fichier compatible avec KeePass2, KeePassX, MacPass, KeeWeb et beaucoup d’autres (KDBX 3.1 et 4.0)
Intégration de l’agent SSH
Auto-Type sur toutes les plateformes supportés pour remplir automatiquement les formulaires de connexions
La prise en charge de fichier Clé et du challenge de réponse YubiKey pour une sécurité accrue.
La génération de TOTP (incluant Steam Guard)
L’import CVS depuis d’autres gestionnaires de mots de passse (tel que LastPass)
Une interface en ligne de commande CLI
Un générateur de mots de passe ou de passphrase unique
Une mesure de la force du mot de passe
La fonctionnalité de fusion de base de données
Une recharge automatique lorsque la base de données a été changée

WWW: https://keepassxc.org

Installation

Disponible depuis OpenBSD 6.6 !

Actuellement, il existe 4 versions que vous pouvez installer :

keepassxc : la version de base
keepassxc-browser : la version d’intégration avec les navigateurs internet
keepassxc-browser-yubikey : la version d’intégration pour les navigateurs et pour fonctionner avec les clés USB de sécurité de type Yubikey
keepassxc-yubikey : la version fonctionnant avec les clés de type Yubikey

Attention

La fonction communiquant avec une clé Yubikey ne fonctionne qu’à partir d’OpenBSD 6.7 !

Configuration

Attention

Ne pas confondre les paramètres de configuration

de l’outil KeePassXC et ceux de la base de données .

Paramètres

La gestion des paramètres, une fois KeePassXC ouvert, se fait par le biais du menu Outils > Paramètres.

Intégrations aux navigateurs

Cliquez sur l’icône Intégration aux navigateurs, puis dans la partie droite de la fenêtre cliquez sur la case à cocher [ ] Activer l’intégration aux navigateurs.

Une fois activée, les onglets Général et Avancé sont accessibles.

⇒ L’onglet Général précise qu’il faut télécharger le module KeePassXC-Browser correspondant au client web que vous utilisez. Une fois téléchargé, il faut activer l’intégration pour le(s) navigateur(s) en question.

Info

Sous OpenBSD, les trois navigateurs web :

Firefox ,
Chromium ,
et Tor-Browser

… sont disponibles.

⇒ L’onglet “Avancé” permet, entres autres, la prise en charge correcte de la communication entre KeePassXC et le navigateur web. Activez les cases à cocher suivantes :

[ ] Utiliser une application proxy entre KeePassXC et l’extension pour un navigateur web
[ ] Utiliser un proxy personnalisé, puis
dans le champ de rechercher [ Parcourir… ], choisissez /usr/local/bin/keepassxc-proxy

Dans les deux contextes, il existe d’autres options que vous pouvez activer ou non…

Agent SSH

Cliquez sur l’icône “Agent SSH”, puis dans la partie droite de la fenêtre, cliquez sur la case à cocher [ ] Activer l’agent SSH (redémarrage nécessaire).

Info

Le redémarrage en question est celui de l’application ; fermez-la pour l’ouvrir à nouveau.

Intégration au Secret Service

Info

Le Service Secret de Freedesktop semble être le service de gestion de confidentialité des données sensibles normé par un des standards de Freedesktop. Dans les faits, il gére votre porte monnaie de session X, et bien d’autres éléments de sécurité, dont la communication avec ses éléments.

Cliquez sur l’icône `Intégration au Secret Service, puis dans la partie droite de la fenêtre cliquez sur la case à cocher [ ] Activer l’intégration de KeePassXC à Freedsktop.org Secret Service.

Une fois activée, les onglets Général et Autorisation sont accessibles.

⇒ L’onglet Général, outre les options diverses, donne un aperçu des bases de données KP visibles, sous le dénominateur Groupes de la base de données visibles :

Ce groupe contient trois colonnes :

File Name : Nom du fichier de base de données
Group : le groupe dans lequel peut être attribué le fichier de base de données en question
Manage : pour gérer le fichier de base de données :
- Une icône bleue en forme de fichier pour éditer la base de données
  - lorsqu’elle est cliquée, l’application va dans le menu d’édition des paramètres de la base de données .
- une icône en forme de cadenas ouvert - afin de verrouiller ou non la base de donnée.

⇒ L’onglet *Autorisation donne un aperçu des applications qui sont autorisées de communiquer avec la base de données.

Deux colonnes :

Application : le nom des applications
Manage : permet de gérer les autorisations liées à l’application

Paramètres de la base de données

Les paramètres de la base de données sont accessibles par le menu Base de données > Paramètres de la base de données…

Sécurité

Deux onglets sont accessibles :

Clé maître
Paramètres de chiffrement

⇒ L’onglet Clé maître permet de gérer le mot de passe lié à la base de données en cours.

Un bouton [ Ajouter une protection supplémentaire… ], qui lorsqu’il est cliqué, donnera accès à la gestion :

de protection par “Fichier-clé”
de challenge par question-réponse Yubikey.

⇒ L’onglet Paramètres de chiffrement permet le paramétrage d’un temps de déchiffrement de la base de données avant son possible accès, ainsi que de choisir le format de celle-ci.

Intégration au Secret Service

Le menu Entrées visibles permet de rendre visible ou non les données qui sont dans la base de données.

Intégration aux navigateurs

Ce menu permet de gérer les “Paramètres de KeePassXC-Browser” sur la base de données, ainsi que les “Clés stockées”, relatives à la communication entre KeePassXC et votre client web, par le biais du module KeePassXC-Browser.

Paramètres avancés

En bas, à gauche, de la fenêtre de KeePassXC, dans les paramètres de la base de données se trouve une case à cocher [ ] Paramètres avancés.

La cocher modifie l’apparence du menu Sécurité des paramètres de la base de données, et tout particulièrement dans l’onglet Paramètres de chiffrement qui permet ainsi de modifier plus finement certaines options, tel l’algorithme de chiffrement, la fonction de dérivation, le cycle de transformation, l’utilisation mémoire, et le nombre de processus.

Danger

Ne touchez à ces paramètres que si vous comprenez, en connaissance de cause, les implications de tels changements.

Utilisation

Générateur de mot de passe

Le générateur de mot de passe ou de passphrase est accessible par le menu Outils > Générateur de mot de passe.

KeePassXC-Browser

Une fois ce module installé, et KeePassXC configuré pour communiquer avec navigateur web, cliquez sur l’icône du module pour gérer la communication avec KeePassXC. Celui-ci vous demandera la première fois de créer une clé de communication qui sera enregistrée dans les paramètres de la base de données de KeePassXC.

Le bouton vert [ Paramètres ] permet de gérer les paramètres du module
Le bouton jaune [ Choisir des champs d’identification personnalisés pour cette page ] permet de paramétrer les champs de connexion sur une page web
alternativement un bouton bleu :
- [ Connecter ] : quand il n’y a jamais eu d’association de touche, afin de la créer.
- [ Recharger ] permet de recharger la clé de communication entre KeePassXC et le module KeePassXC-Browser
  - ce qui nécessite que KeePassXC soit en fonctionnement.

Mises en garde

Attention

Il semble y avoir un souci empêchant le bon fonctionnement de communication entre le module KeePassXC-Browser et KeePassXC si votre session utilise ck-launch.

Modifiez votre fichier personnel .xsession pour redémarrer votre session sans !

Messages d’erreurs

KeePassXC-Browser n’est pas configuré. Appuyez sur le bouton Connecter pour se connecter à KeePassXC. : ce message est affiché lors du premier usage du module. Cliquez sur le bouton [ Connecter ] pour créer une association de touches.
Échec du chiffrement du message. KeePassXC est-il lancé ? : Vérifiez que le logiciel KeePassXC soit activé !
Impossible de se connecter à KeePassXC. Vérifiez que l’intégration au navigateur soit activée dans les paramètres de KeePassXC. signifie que le module KeePassXC-Browser ne peut se connecter à la base de données KeePassXC.
- Soit vous n’avez pas paramétré correctement KeePassXC pour qu’ils puissent communiquer ensemble,
- soit KeePassXC est tout simplement inactif.
L’échange de clé a échoué. : l’échange de la clé de communication entre le module KeePassXC-Browser et KeePassXC n’arrive pas à se faire.

Historique

J’ai écrit historiquement cette documentation de manière collaborative sur le wiki de la communauté “OpenBSD Pour Tous”.